Sofortmanahmen

gegen Krypto-Trojaner
Von Michael Veit, Security Consultant

Dieses Dokument soll als Leitfaden dienen, wie Unternehmen und

Behrden schnell und effektiv auf die aktuelle Bedrohungslage durch
Krypto-Trojaner wie Cryptowall, TeslaCrypt oder Locky reagieren knnen.
Zunchst werden die Mechanismen vorgestellt, mit denen diese
Schdlinge in Unternehmen gelangen und wieso es trotz vorhandener
Schutzmanahmen viele neue Infektionen gibt.
Anschlieend werden konkrete Empfehlungen gegeben, wie mit
kurzfristigen und langfristigen technischen und organisatorischen
Manahmen der Bedrohung begegnet werden kann.

Sofortmanahmen gegen Krypto-Trojaner

Woher kommt die aktuelle Infektionswelle mit

Krypto-Trojanern?
Obwohl in den meisten Unternehmen umfangreiche Sicherheitsmechanismen wie Virenscanner,
Firewalls, IPS-Systeme, Anti-SPAM/Antiviren-Email-Gateways und Webfilter im Einsatz sind,
registrieren wir aktuell weltweit eine groe Anzahl von Infektionen von Unternehmensrechnern
mit Verschlsselungstrojanern wie Cryptowall, TeslaCrypt oder Locky. Im Zuge dieser Infektionen
werden Dateien auf Rechnern und Netzlaufwerken verschlsselt, um die Nutzer dieser Rechner
zu erpressen, fr das Entschlsselungswerkzeug einen Geldbetrag von typischerweise 200-500
USD zu zahlen.
Eine typische Infektion luft dabei wie folgt ab:

Ein Benutzer bekommt eine E-Mail, die angeblich von einem plausiblen Absender
stammt, z.B. einem internen Scanner/Kopierer mit angehngtem gescannten
Dokument, einem Paketdienst mit angehngten Zustellinformationen oder einem
externen Unternehmen mit einer angehngten Rechnung
Der Anhang der E-Mail enthlt ein MS Word oder Excel-Dokument mit einem
eingebetteten Makro. Wenn der Empfnger das Dokument ffnet, startet automatisch
ein Makro, das folgende Aktionen ausfhrt:
Es versucht, von einer Reihe nur fr kurze Zeit existierenden Webadressen (EinwegURLs) den eigentlichen Krypto-Trojaner herunterzuladen. Wenn eine Webadresse
nicht erreichbar ist, wird die nchste angesprochen, so lange, bis der Trojaner
erfolgreich heruntergeladen wurde.
Das Makro fhrt den Trojaner aus
Der Trojaner kontaktiert den Command & Control-Server des Herstellers, sendet
Informationen ber den infizierten Rechner und ldt einen fr diesen Rechner
individuellen ffentlichen Schlssel herunter
Mit diesem ffentlichen Schlssel werden dann Dateien bestimmter Typen (OfficeDokumente, Datenbankdateien, PDFs, CAD-Dokumente, HTML, XML etc.) auf dem
lokalen Rechner sowie auf allen erreichbaren Netzlaufwerken verschlsselt.
Hufig werden automatische Sicherheitskopien des Windows-Betriebssystems
(Schattenkopien) gelscht, um diese Art der Datenwiederherstellung zu verhindern
Anschlieend wird auf dem Desktop dem Benutzer eine Nachricht dargestellt,
wie ein Lsegeld (oft in Form von Bitcoins) innerhalb eines Zeitfensters von z.B. 72
Stunden gezahlt werden kann, um ein passendes Entschlsselungstool mit dem
nur auf dem System des Angreifers zu findenden privaten Schlssel zu erhalten
Dies ist nur ein Beispiel, wie eine solche Infektion ablaufen kann. Referenzen auf detaillierte
Analysen einzelner konkreter Schdlinge habe ich im Anhang zusammengestellt.
Die dort beschriebenen Schdlinge nutzen teilweise andere/weitere Infektionswege,
Verschlsselungsverfahren und Kommunikationsmechanismen.

Ein Sophos Whitepaper Februar 2016

Sofortmanahmen gegen Krypto-Trojaner

Warum sind diese Angriffe so erfolgreich?

Die Grnde fr den Erfolg dieser Infektionen sind vor allem:

1. Art der Angriffe

Hochprofessionell agierende Produzenten der Krypto-Trojaner. Dazu gehrt unter
anderem auch, dass nach Zahlung der Erpressungssumme in der Regel tatschlich
ein Werkzeug zur Entschlsselung bereitgestellt wird.
Geschicktes Social Engineering, um den Benutzer zum Ausfhren der
Installationsroutine des Trojaners zu bewegen (In der E-Mail steht etwas in der
Art: Wenn die Codierung des angehngten Word Dokuments fehlerhaft erscheint,
aktivieren Sie bitte die Ausfhrung von Makros. Das geht wie folgt..)
Nutzung von Technologien zur Infektion, die in vielen Unternehmen zugelassen
sind und in denen bsartiger Code leicht verschleiert werden kann (Microsoft Office
Makros, JavaScript, VBScript, CHM, Flash, Java)
Technologisch fortgeschrittene Schdlinge, die u.a.
durch Verschleierungsmechanismen auf dem infizierten System schwer zu
identifizieren sind
diverse redundante Kommunikationsmechanismen nutzen
Public Key Verschlsselungsverfahren nutzen, um ein fr alle Infektionen
nutzbares Entschlsselungswerkzeug zu verhindern
2. Situation in den betroffenen Unternehmen
Mangelhaftes Backupkonzept (keine zeitnahen Backups, Backups nicht offline/offsite)
Updates/Patches fr Betriebssystem und Anwendungen werden nicht zeitnah
eingespielt
Mangelhaftes Benutzer-/Rechtekonzept (Benutzer arbeiten als Administratoren und/
oder haben mehr Dateirechte auf Netzlaufwerken, als fr ihre Aufgabe notwendig ist)
Mangelhafte Schulung der Benutzer (Welche Dokumente von wem darf ich ffnen?,
Wie ist die Prozedur, wenn ein vom Typ eigentlich gesperrtes Dokument empfangen
werden muss?, Wie erkenne ich eine Phishing-Email?)
Sicherheitssysteme (Virenscanner, Firewalls, IPS, Email-/Web-Gateways)
sind nicht vorhanden oder falsch konfiguriert. Dazu zhlt auch fehlende
Netzwerksegmentierung (Server und Workstations im gleichen Netz)
Unwissenheit der Administratoren im Bereich der IT-Sicherheit (.exe-Dateien werden
in E-Mails zwar blockiert, nicht aber Office-Makros oder andere aktive Inhalte)
Falsche Prioritten (Wir wissen, dass diese Vorgehensweise nicht sicher ist, aber
unsere Leute mssen doch arbeiten..)

Ein Sophos Whitepaper Februar 2016

Sofortmanahmen gegen Krypto-Trojaner

Prioritten setzen
Insbesondere der zuletzt beschriebene Punkt bezglich der Prioritten muss hinterfragt
werden. Hufig werden mit dem Argument Sicherheit strt die Benutzer nur, die mssen
doch arbeiten viele sicherheitstechnisch sinnvolle Manahmen nicht umgesetzt. In vielen
Fllen trifft das Argument zudem nicht zu, wenn die sicherheitstechnischen Manahmen
sorgfltig geplant und angepasst an die Situation der Mitarbeiter und des Unternehmens
umgesetzt werden.
In manchen Fllen wie dem Empfang per E-Mail und der internen Nutzung von OfficeDokumenten mit Makros muss man sich bewusst machen, was fr das Unternehmen
wichtiger ist:

Variante 1:
Jeder Benutzer kann Office-Dokumente aus dem Internet empfangen und kann diese
zudem mit Makros auf Unternehmensrechnern ausfhren.

Variante 2:
Nur die Benutzer der Fachabteilungen, die mit Office-Makros arbeiten mssen
(Auftragsbearbeitung, Buchhaltung, Vertrieb) bekommen per zentraler Richtlinie das
Recht, Office-Makros auszufhren.
Wenn Geschftspartner eine E-Mail mit einem Office-Dokument an Empfnger
im Unternehmen schicken, dann kommt diese E-Mail in eine Quarantne. Der
Empfnger wird darber informiert und aufgefordert, sich beim Absender der E-Mail
rckzuversichern, dass dieser die E-Mail tatschlich geschickt hat. Wenn er das gemacht
hat, kann der Mitarbeiter diese E-Mail selbstttig aus der Quarantne entlassen.
Alternativ kann er den Geschftspartner bitten, zuknftig alle Dokumente in ein
passwortgeschtztes ZIP-Archiv einzupacken, dessen Passwort beide whrend dieses
Gesprches ausmachen. Solche passwortgeschtzte ZIP-Archive werden nie in E-MailQuarantne gestellt, die E-Mails kommen zuknftig immer sofort an und zudem ist die
bertragung per E-Mail jetzt auch noch verschlsselt.
Vom Administrationsstandpunkt aus ist Variante 1 sicherlich am einfachsten. Bei Variante 2
muss man zunchst herausfinden, welche Fachabteilungen von Geschftspartnern im
Internet Office-Dokumente empfangen mssen, man muss die passenden Gruppenrichtlinien
definieren und die Mitarbeiter der Fachabteilungen schulen. Trotzdem ist die Umsetzung
von Variante 2 natrlich der sinnvollere Schritt, um mit technischen Manahmen und fr
den Mitarbeiter minimalen nderungen im Arbeitsverhalten erheblich mehr Sicherheit zu
erreichen.
Analog zu diesem Beispiel sollten die folgenden empfohlenen Manahmen immer unter dem
Aspekt betrachtet werden, was die Konsquenzen bei Nicht-Umsetzung wren und wie man
diese Manahmen so umsetzt, dass sie den Benutzer nur soweit ntig betreffen.

Ein Sophos Whitepaper Februar 2016

Sofortmanahmen gegen Krypto-Trojaner

Was sollte ich sofort machen?

Backups offline/offsite
Ein Backup-Konzept muss bercksichtigen, dass nicht nur der Ausfall einer Hardware
abgesichert ist (Stichwort: RAID1 ersetzt kein Backup) sondern auch der Online-Zugriff auf
Sicherungen z.B. durch Verschlsselungstrojaner auf Admin-Rechnern nicht mglich ist.
Backups sollten zudem offsite d.h. auch rumlich getrennt aufbewahrt werden, um vor
Umweltschden (Feuer, Lschmitteln) geschtzt zu sein.

Keine Adminrechte oder Rechte, die nicht bentigt werden

Jeder Benutzer sollte immer nur mit den Rechten arbeiten, die zur Erfllung seiner Aufgabe
notwendig sind. Es gibt nur sehr wenige bis keine Grnde, warum ein Mitarbeiter beim
Arbeiten mit seinen Geschftsanwendungen als Administrator angemeldet sein sollte oder
warum dieser Mitarbeiter auf Netzlaufwerke zugreifen darf, die er nicht (mehr) zur Erfllung
seiner Aufgaben bentigt.

Patches und Updates einspielen

Nicht aktuelle Anwendungen und Betriebssysteme waren und sind der primre Weg,
ber den Rechner mit Schadsoftware infiziert werden. Ein zentrales Update- und
Patchmanagement muss fr das zeitnahe Einspielen der Updates und Patches sorgen. Dies
darf nicht dem Benutzer berlassen werden (der etwa bei Benachrichtigungen des lokalen
Adobe oder Java-Updaters wiederholt auf Spter erinnern klicken kann).

Office-Makros per Gruppenrichtlinie deaktivieren

In einer ActiveDirectory Umgebung knnen Office-Makros per Gruppenrichtlinie zentral
deaktiviert werden. Fr die Mitarbeiter, die aufgrund ihrer Ttigkeit z.B. in der Buchhaltung
oder im Vertrieb, diese Funktionalitt bentigen, kann diese Funktion ebenso zentral
freigeschaltet werden.

Ein Sophos Whitepaper Februar 2016

Sofortmanahmen gegen Krypto-Trojaner

Endpoint-Virenschutz richtig konfigurieren

Konfigurieren Sie Ihren Virenscanner nach den empfohlenen Best Practices.
Wenn Sie Sophos Endpoint Protection per Sophos Enterprise Console verwalten, dann
stellen Sie sicher, dass in der AV-Policy aller Workstations und Fileserver/Terminalserver
Folgendes eingestellt ist:

On-Access-Scan: an
Scannen beim Lesen, Schreiben, Umbenennen: an
Systemspeicher scannen: an
Download-Scans: an
Erkennung schdlichen Verhaltens: an
Erkennung schdlichen Datenverkehrs: an
Erkennung von Pufferberlufen: an

Wenn Sie Sophos Cloud Endpoint Protection einsetzen, dann muss fr alle User eingestellt
sein:

Echtzeit-Scan: an

Wenn Sie Sophos Cloud Server Protection einsetzen, konfigurieren Sie fr Ihre Server

Echtzeit-Scans lokale Dateien..: alle Schalter an

Echtzeit-Scans Internet: alle Schalter an
Echtzeit-Scans-Optionen:
Erkennung schdlichen Verhaltens: an
Live-Schutz: an
Aktivieren Sie die Server Lockdown Funktionalitt
Email-Gateway richtig konfigurieren
Zunchst muss auf dem Email-Gateway ein Virenscan sowie ein SPAM-Scan von allen ein- und
ausgehenden E-Mails eingerichtet sein, konfiguriert nach den Best Practices des Herstellers.
Wenn Ihr Email-Gateway eine Sandboxing-Technologie zur Analyse von Anhngen bereitstellt,
dann aktivieren Sie diese Funktion. Die Sophos Email Appliance stellt diese Funktion ab der
Version 4.0 bereit, die Sophos UTM ab der Version 9.4.
Konfigurieren Sie Ihr Email-Gateway auerdem so, dass von aus dem Internet eingehenden
E-Mails keine ausfhrbaren Anhnge durchgelassen werden, inkl. Office-Dokumente, VBS,
JavaScript, Java, ActiveX, CHM.

Ein Sophos Whitepaper Februar 2016

Sofortmanahmen gegen Krypto-Trojaner

Sophos empfiehlt konkret die Quarantne von Dateitypen, die typischerweise folgende
Endungen haben (.ade, .adp, .bas, .bat, .chm, .cla, .class, .cmd, .com, .cpl, .exe, .hlp, .hta, .inf,
.ins, .js, .jse, .lnk, .msc, .msi, .mst, .ocx, .pcd, .pif, .reg, .scr, .sct, .shb, .shs, .url, .vb, .vbs, .vbe,
.wsf, .wsh, und .wsc). Wichtig ist auch, dass unverschlsselte Archive nach diesen Dateien
gescannt werden und ggf. die Archive in Quarantne gestellt werden.
Bei der Sophos Email Appliance gibt es hierfr die vordefinierte Regel Threat Protection
-> SophosLabs Suspect Attachments to all.
E-Mails mit diesen Typen von Anhngen sollten in eine Quarantne gestellt werden und der
Empfnger sollte benachrichtigt werden, dass eine entsprechende E-Mail in der Quarantne
ist (z.B. durch Ersetzen des ursprnglichen Anhangs durch eine Textnachricht, dass sich der
Anhang in Quarantne befindet und wie man jetzt vorgehen soll).
Je nach E-Mail-Lsung und Organisation sowie erfolgter Schulung der Mitarbeiter knnen
die E-Mails aus dieser Quarantne entweder von den E-Mail-Administratoren oder den
ursprnglichen Empfngern der E-Mail freigegeben werden nachdem der betreffende
Empfnger verifiziert hat (z.B. durch Telefonanruf beim Absender der E-Mail), dass es sich
um eine valide E-Mail handelt.

Web-Gateway konfigurieren
Konfigurieren Sie Ihr Web-Gateway so, dass alle Downloads auf Viren gescannt werden
und dass bekannte Webadressen und Mechanismen zur Kommunikation mit Command
& Control-Servern geblockt werden. In jedem Fall aktivieren Sie das Scannen von SSLVerbindungen. Wenn Ihr Web-Gateway eine Sandboxing-Technologie zur Analyse von
Downloads bereitstellt, dann aktivieren Sie diese Funktion.
Die Sophos UTM konfigurieren Sie wie folgt:

ATP: Network Protection -> Advanced Threat Protection: an

Webfilter-Profil -> Filteraktion -> Antivirus -> Antivirenscan: Zweifachscan
Webfilter-Profil -> Filteraktion -> Antivirus -> Sandstorm: an (ab UTM 9.4)
Webfilter -> HTTPS -> Entschlsseln und Scannen
Webfilter-Kategorien sperren:
Anonymisierer
Browser-Exploits
Gefhrliche Downloads
Bsartige Sites
Phishing
SPAM-URLs
Programmdaten werden anonymisiert (engl: Anonymizing Utilities)

Ein Sophos Whitepaper Februar 2016

Sofortmanahmen gegen Krypto-Trojaner

Die Sophos XG/SF-OS Firewall konfigurieren Sie wie folgt:

ATP: Auf dem Dashboard -> Klick in der rechten Spalte auf Advanced Threat
Protection -> Configure -> Advanced Threat Protection: an
Web Content Filter -> Scanning: Dual Anti-Virus
In jeder relevanten Policy-Regel -> Malware-Scan -> Decrypt & Scan HTTPS: an
In jeder relevanten Policy-Regel -> Webfilter-Policy mit gesperrten Kategorien:
Anonymizers
Command & Control
Phishing & Fraud
SPAM URLs
Die Sophos Web Appliance konfigurieren Sie wie folgt:

Global Policy -> HTTPS Scanning: an

Global Policy -> Sandstorm: an
Webfilter-Kategorien sperren: Proxies & Translators
Alle anderen bsartigen URLs (Phishing, Spyware, SPAM, High Risk Sites) werden
standardmig blockiert und Virenscan ist aktiviert.

Firewall/Intrusion Prevention System konfigurieren

Ein dediziertes oder in eine Firewall/UTM integriertes IPS sollte so konfiguriert sein, dass die
Command & Control-Kommunikation blockiert wird.
In der Sophos UTM blockieren Sie per IPS Policy:

Network Protection -> Intrusion Prevention -> Angriffsmuster

Schadsoftware
In der Sophos XG/SF-OS Firewall blockieren Sie per IPS Policy:

Policies -> Intrusion Prevention Category

Malware Communication
Bewusstsein/Schulung der Mitarbeiter
Alle technischen Manahmen bringen wenig, wenn die Mitarbeiter sich nicht der potentiellen
Gefahren bewusst sind und nicht wissen, wie sie sich in bestimmten Situationen zu verhalten
haben. Als Sofortmanahme mssen die Mitarbeiter geschult werden, die bei ihrer tglichen
Arbeit mit solchen Sicherheitsgefahren und -manahmen konfrontiert sind (Wie erkenne
ich eine Phishing-E-Mail?, Wie kann ich, obwohl Office-Dokumente in E-Mails gesperrt sind,
trotzdem mit meinen Geschftspartnern Daten austauschen?).

Ein Sophos Whitepaper Februar 2016

Sofortmanahmen gegen Krypto-Trojaner

Was sollte ich zustzlich langfristig machen?

Bewusstsein/Schulung der Mitarbeiter (Teil 2)
Zustzlich zu den oben beschriebenen Sofortmanahmen fr Mitarbeiter, die bei ihrer
tglichen Arbeit mit solchen Sicherheitsgefahren und -manahmen konfrontiert sind,
mssen alle Mitarbeiter regelmig IT-Sicherheits-Schulungen erhalten. Der Erfolg dieser
Manahmen sollte auch regelmig berprft werden.
Sophos stellt Ihnen mit dem im Anhang referenzierten Trainingshandbuch IT Security DOs
und DON'Ts sowie dem Schreckxikon mit der Beschreibung von Angriffsmethoden und
Gefahren im Internet dafr kostenlose Tools zur Verfgung.

Segmentierung des Firmennetzwerkes

Whrend sich die aktuellen Krypto-Trojaner (noch) nicht innerhalb eines Firmennetzwerkes
ber Netzwerkschwachstellen verbreiten, so ist das bei zuknftigen Varianten durchaus
denkbar wie ehemals Conficker, der sich durch einen Fehler in einer WindowsNetzwerkkomponente von einem einzigen infizierten Rechner im Firmennetz in Windeseile im
gesamten internen Netzwerk ausbreiten konnte.
Zudem helfen alle oben gezeigten Sicherheitsmanahmen am Gateway nichts, wenn
ein unbefugt ins Netzwerk eingebrachter Rechner (privates Notebook, Rechner eines
Dienstleisters, Firmen-Notebook mit veraltetem Virenschutz) diese Manahmen
unterwandern kann. Gegen die Gefahr eines unerlaubten Gertes im Netzwerk knnen
beispielsweise NAC-Lsungen helfen, die nur bekannten Rechnern den Zugriff aufs Netzwerk
erlauben.
Generell sollte also auch beim Netzwerkdesign das Prinzip gelten, dass jedes System nur
auf die Ressourcen Zugriff erhlt, die fr die Erfllung seiner Aufgaben notwendig sind.
Im Bereich des Netzwerkes bedeutet das auch, dass man funktionale Bereiche ber
eine Firewall voneinander trennt wie z.B. die Client- und Servernetze. Auf die jeweiligen
Zielsysteme und Dienste darf nur zugegriffen werden, wenn dies tatschlich notwendig
ist. Von den Workstations auf die Backupserver darf dann beispielsweise nur ber den
von der Backuplsung bentigten Port zugegriffen werden, nicht aber per WindowsDateisystemzugriff.
In der Konsequenz muss auch ber den Einsatz einer Client Firewall auf Workstations und
Servern nachgedacht werden, da es typischerweise keinen Grund gibt, dass Workstations
oder Server auer ber dediziert bekannte Dienste untereinander kommunizieren mssen.
So knnen auch Infektionswellen innerhalb eines Netzes verhindert werden.

Ein Sophos Whitepaper Februar 2016

Sofortmanahmen gegen Krypto-Trojaner

Verschlsselung von Unternehmensdaten

Durch die geeignete Verschlsselung von Unternehmensdokumenten kann verhindert
werden, dass Schdlinge unverschlsselten Zugriff auf vertrauliche Dokumente erlangen.
Das verhindert Schaden durch den Abfluss von geschftsrelevanten Dokumenten.

Security als System betrachten

In vielen Unternehmen laufen Security-Komponenten (z.B. Firewall, VPN, IPS, Endpoint
Security, Verschlsselung, Web-Security, Email-Security, Mobile Management, WLAN
Management) parallel nebeneinander her, ohne dass diese Komponenten miteinander
kommunizieren, Ereignisse korrelieren und automatische Gegenmanahmen bei mglichen
Sicherheitsvorfllen auslsen knnen.
Wenn diese Security-Komponenten aber miteinander kommunizieren und bei mglichen
Sicherheitsvorfllen automatisch Aktionen zur Absicherung des Gesamtsystems auslsen
knnen, also als System agieren, dann kann dadurch die Gesamtsicherheit der Infrastruktur
deutlich erhht werden. Mit der Strategie Synchronized Security verfolgt Sophos genau
diesen Ansatz.

Security-Analysewerkzeuge einsetzen
Auch wenn alle oben genannten Manahmen umgesetzt sind, kann nicht mit
hundertprozentiger Sicherheit gewhrleistet werden, dass es in Zukunft keine
Sicherheitsvorflle/Infektionen auf Unternehmensrechnern geben wird. Wenn dieser
Fall aber eintritt, dann mssen schnellstmglich die Quelle der Infektion sowie mgliche
Auswirkungen auf andere Systeme des Unternehmenssysteme identifiziert und
eingeschrnkt werden. Dadurch knnen die Aufwnde zur Identifikation und Bereinigung der
betroffenen Systeme und zur Wiederherstellung der Funktionsfhigkeit der IT-Infrastruktur
drastisch verkrzt werden. Auerdem knnen durch die Indentifikation der Quelle und der
Methode der Infektion mgliche Schwachstellen im Sicherheitskonzept identifiziert und
geschlossen werden.
Fr diese Zwecke gibt es spezielle Analyse-Werkzeuge (Root Cause Analysis/Source of
Infection-Tools), die umso effektiver sind, je mehr diese mit den im Unternehmen im Einsatz
befindlichen IT-Security-Systemen kommunizieren und interagieren (siehe den vorigen
Abschnitt Security als System).

IT Security Best Practices

Viele der in dem Dokument vorgeschlagenen Manahmen sind Best Practices in der IT
Security und sollten in Unternehmen eigentlich lngst etabliert sein, ebenso wie andere,
hier nicht erwhnte Manahmen wie z.B. starke Passwrter. Wir empfehlen regelmige
Security Check-Ups/Health Checks, um mgliche Sicherheitsdefizite zu identifizieren
und Sie auf dem aktuellen Stand zu halten bezglich technischer und organisatorischer
Mglichkeiten zum Schutz Ihrer IT-Infrastruktur.

Ein Sophos Whitepaper Februar 2016

10

Sofortmanahmen gegen Krypto-Trojaner

Referenzen
Technisches Whitepaper zur Ransomware
Informationen zu Locky
Informationen zu aktueller Ransomware
Best Practices gegen Trojaner Troj/DocDl
IT Security DOs und DON'Ts
Schreckxikon

Sales DACH (Deutschland, sterreich, Schweiz)

Tel.: +49 611 5858 0 | +49 721 255 16 0
E-Mail: sales@sophos.de
Oxford, GB | Boston, USA
Copyright 2016. Sophos Ltd. Alle Rechte vorbehalten.
Eingetragen in England und Wales, Nr. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, GB
Sophos ist die eingetragene Marke von Sophos Ltd. Alle anderen genannten Produkt- und Unternehmensnamen
sind Marken oder eingetragene Marken ihres jeweiligen Inhabers.
02/16.NP.wpde.simple